下面方法可以防止黑客知道你的源服務器真實IP進行併發攻擊,通常只需要保護動態文件請求,如PHP。
添加文件 nginx/conf/limit/whiteip.conf 裏面是你要忽略限制的白名單IP地址,通常是你自己的地址或者CND地址,或者負載均衡服務器的IP地址,再或者你的安全代理服務器(安全寶或360網站衛士等)的地址。
-
127.0.0.1 0; #白名單: 127.0.0.1
-
172.16.0.0/16 0; #白名單 172.16.0.0 ~ 172.16.255.255
-
192.168.0.0/24 0; #白名單 192.168.0.0 ~ 192.168.0.255
添加文件 nginx/conf/limit/limit_zone.conf 內容如下
-
geo $whiteiplist {
-
default 1;
-
include limit/whiteip.conf;
-
}
-
map $whiteiplist $limit {
-
1 $binary_remote_addr;
-
0 "";
-
}
-
limit_req_zone $limit zone=perreq:10m rate=8r/s; #除了白名單外的IP每秒最多處理 8 個請求
-
limit_conn_zone $limit zone=perip:10m;
添加文件 nginx/conf/limit/limit_location.conf
-
limit_conn perip 8; # 限制除了白名單外的IP,每個IP最大併發爲8
-
limit_req zone=perreq nodelay;
limit_conn/limit_req 可以只保留其中一個看自己需要了!
修改 nginx/conf/nginx.conf 在 http { ... }
區域添加下面代碼
-
include limit/limit_zone.conf;
然後在虛擬主機的配置文件的 location ~ .*\.(php|php5)?$ { ... }
區域(就是處理php文件請求的區域)添加
include limit/limit_location.conf;